Für Windows ist letzte Woche eine Sicherheitslücke öffentlich gemacht worden. Da dies nahezu täglich passiert, ist das eigentlich nichts Besonderes. Normalerweise hofft man darauf, dass Microsoft einen Patch herausbringt, bevor die ersten Exploits auftauchen. Doch "Remote Binary Planting", wie Microsoft das Problem selbst getauft hat, kann nicht gepatcht werden, ohne großflächige Kollateralschäden anzurichten.
Ein Patch würde nämlich dazu führen, dass zahlreiche Applikationen gar nicht oder nicht korrekt funktionieren. Die Sicherheitslücke ist seit langem bekannt. Microsoft hat bereits seit Windows XP SP2 eine Art Kompromiss-Fix für Remote Binary Planting ins Betriebssystem integriert, der nahezu keine Schäden anrichtet, jedoch das Problem in den meisten Fällen nicht beseitigt.
Eine Veröffentlichung von ACROS löste einen regelrechten Hype aus, der dazu führte, dass innerhalb einer Woche Exploits für zahlreiche weit verbreitete Programme auftauchten. Mittlerweile wird Lücke aktiv von Kriminellen ausgenutzt.
Ein Angriff mit Remote Binary Planting ist relativ einfach: Der Angreifer kopiert eine DLL-Datei in ein Verzeichnis auf einem Netzwerklaufwerk, für das er Schreibrechte besitzt, etwa \\Server\Share\Dokumente\Präsentationen. Ein anderer Benutzer, der eine Präsentation aus diesem Verzeichnis öffnet, lädt damit automatisch die DLL-Datei nach und der Code in der DLL wird ausgeführt.
Eine weitere Besonderheit ist, dass für Remote Binary Planting kein Pufferüberlauf oder eine Null-Pointer-Dereferenzierung ausgenutzt werden muss. Eine einfache DLL-Datei in das richtige Verzeichnis platziert, reicht aus, um die Lücke auszunutzen. Das ermöglicht auch "Amateurhackern", wirksame Exploits zu entwickeln.
Das Problem tritt nur auf, wenn eine Applikation eine DLL nachlädt, etwa mit LoadLibrary, und dabei keinen vollständigen Pfadnamen angibt. Da Windows standardmäßig erst das aktuelle Verzeichnis und dann die Umgebungsvariable PATH durchsucht, kann der Angreifer bei schlecht programmierten Applikationen erzwingen, dass seine DLL anstelle der korrekten geladen wird.
Mittlerweile sind über 50 "schlecht gemachte" Anwendungen bekannt. Dazu zählen die aktuellen Versionen von Firefox, µTorrent, Opera, Winamp, VLC und Wireshark. Microsoft weist zu Recht darauf hin, dass man die Entwickler seit vielen Jahren auf die Problematik aufmerksam macht. Doch die Warnungen verhallen bereits im eigenen Haus, denn auch Powerpoint 2007 ist betroffen. Vermutlich gibt es tausende weitere Applikationen, die durch Remote Binary Planting kompromittiert werden können.
Eine recht gute Liste mit den zugehörigen Exploits in C gibt es bei exploit-db.com. Die Versionsnummern der aufgezählten Programme sind mit Vorsicht zu genießen. Sie geben nur an, dass eine bestimmte Version garantiert verwundbar ist. Das bedeutet nicht, dass andere Versionen nicht betroffen sind.
Lesermeinungen zum Artikel
Das ist doch ein Widerspruch in sich selbst oder?
Ohne wäre Fremdanbieter-Software anders entwickelt
worden.
Ich liebe mein Ubuntu...
So sicher wäre wäre ich mir bei Linux oder Ubuntu auch nicht. Habe ich übrigens auch hier, nur taugt es immer noch nicht vollends für die tägliche Arbeit und ohne Bateln geht da auch nichts wirklich - was unter MS auch nicht anders ist.
Für einen Witz halte ich je doch dass MS am "Windows Home Server Vail" entwickelt, wo doch sie selbst wissen müssten dass der Fehler im Kernel liegt und damit auch nicht behoben wird. Leider steht darüber auch nichts im Test, was aber wirklich mal nötig wäre.
Übrigens... ich würde auf Linux Mint umsteigen. Auch eine Distr welche auf Ubuntu basiert. Aber halt Geschmacksache ;)
Wenn der Anwender so blöd ist, auf jeden Link "klick mich, es wird gut für dich sein" klickt, dann kann man dafür nicht Microsoft die Schuld geben.
Das Anklicken eines Links ist in diesem Fall eher harmlos, jedenfalls, wenn es sich um einen HTTP- oder FTP-Link handelt. Ein Netzwerklink wie .../... ist jedoch gefährlich.
Dennoch ist es möglich, eine DLL per HTTP oder FTP ins Downloadverzeichnis zu laden. Wenn dort noch Word- oder Powerpoint-Dateien liegen, und der Nutzer diese von dort öffnet, führt er auch die DLL aus. Die Gefahr ist aber eher gering, da viele Anwender inzwischen wissen, dass man sich keine DLLs oder ähnlichs in Download-Verzeichnis holt.
Das ist ja gerade der Bug, dass Word und Powerpoint (sowie zahlreiche andere Applikationen) genau das machen.
Eine Liste der betroffenen Apps und die DLLs, die aus dem Dokumentverzeichnis geladen werden gibts unter www.exploit-db.com/...
Ansonsten habe ich ja nicht viele Apps welche dort aufgelistet sind oder nicht die dortigen Versionen. Aber Opera und Thunderbird, das ist mies.
Wie schaut es eigentlich mit WINE unter Linux aus?
Können dieses DLL's dort ebenso genutzt/missbraucht werden?
Schafft es ein Angreifer nämlich, eine entsprechende DLL an einer Stelle zu platzieren, wo es gefährlich werden kann, dann liegt mit der IT-Sicherheit des Betroffenen (bzw. der betroffenen Firma) sowieso bereits einiges im Argen.
Tatsächlich gravierend hingegen ist die Tatsache, dass für dieses Problem kein praktikabler Patch entwickelt werden kann.
Im Grossen und Ganzen ist es aber hauptsächlich Futter für die ganzen Haterboys, die jetzt hier wieder gegen M$ stänkern können ;-)
(Und das sage ich als langjähriger Linux-User)
So sicher kann man bei Close-Source als Admin überhaupt nicht agieren, wenn die innere Struktur im Unternehmen dies nicht zulässt. In den meisten Unternehmen verlassen sich Management und Mitarbeiter darauf dass alles so funktioniert wie diese es sich vorstellen. Dann bleibt dir als Admin nur der Wunschgedanke dass sich alle daran halten was du vorgibst.
Und das dies der Fall ist kann man nur kontrollieren wenn man einen kleinen Sicherheitsstaat innerhalb des Unternehmens aufbau. Beliebt macht man sich damit aber nicht. Das ist dann der Gegensatz dazu.